Калина (шифр)

Стан шифру описується матрицею 8 x ${\displaystyle c}$ елементів скінченного розширеного двійкового поля ${\displaystyle GF(2^{8})}$, сформованого незвідним поліномом ${\displaystyle x^{8}+x^{4}+x^{3}+x^{2}+1}$. Кількість раундів та кількість рядків у матриці стану наведені у таблиці: [9]

Перетворення зашифрування ${\displaystyle T_{l,k}^{(K)}}$ описується як

${\displaystyle T_{l,k}^{(K)}=\eta _{l}^{(K_{t})}\bullet \psi _{l}\bullet \tau _{l}\bullet \pi _{l}'\bullet \prod _{\nu =1}^{t-1}(\kappa ^{(K_{\nu })}\bullet \psi _{l}\bullet \tau _{l}\bullet \pi _{l}')\bullet \eta _{l}^{(K_{0})}}$

Перетворення ${\displaystyle \eta ^{(K_{v})}}$ — це додавання до матриці стану раундового ключа за модулем ${\displaystyle 2^{64}}$. При додаванні використовується порядок little endian.

Перетворення ${\displaystyle \pi _{l}'}$ — це заміна байтів у матриці стану

Стандартом передбачено можливість використання інших S-блоків у окремих застосуваннях, що є спільною рисою з алгоритмом шифрування, визначеним ДСТУ ГОСТ 28147:2009.

Перетворення ${\displaystyle \tau }$ — це перестановка елементів у матриці (циклічний зсув вправо). matrix ${\displaystyle G=(g_{i,j})}$. Кількість зсунутих елементів залежить від номера рядка ${\displaystyle i\in \{0,1,...,7\}}$ та розміру блоку ${\displaystyle l\in \{128,256,512\}}$. Кількість зсунутих елементів обчислюється за формулою ${\displaystyle \left\lfloor {\frac {(i\cdot l)}{512}}\right\rfloor }$.

Перетворення ${\displaystyle \psi }$ — це лінійне перетворення елементів матриці стану над скінченним полем ${\displaystyle x^{8}+x^{4}+x^{3}+x^{2}+1}$

Перетворення ${\displaystyle \kappa ^{(K_{\upsilon })}}$ — це додавання до матриці стану раундового ключа за модулем 2, також відоме як побітове виключне «або» (XOR).

Перетворення розшифрування ${\displaystyle U_{l,k}^{(K)}}$ описується як

${\displaystyle U_{l,k}^{(K)}={}_{-1}\eta _{l}^{(K_{0})}\bullet \prod _{\nu =t-1}^{1}({}_{-1}\pi _{l}'\bullet {}_{-1}\tau _{l}\bullet {}_{-1}\psi _{l}\bullet {}_{-1}\kappa ^{(K_{\nu })})\bullet {}_{-1}\pi _{l}'\bullet {}_{-1}\tau _{l}\bullet {}_{-1}\psi _{l}\bullet {}_{-1}\eta _{l}^{(K_{t})}}$

Перетворення ${\displaystyle {}_{-1}\pi _{l}'}$, ${\displaystyle {}_{-1}\tau _{l}}$, ${\displaystyle {}_{-1}\psi _{l}}$, ${\displaystyle {}_{-1}\eta _{l}^{(K_{\nu })}}$ є оберненими перетвореннями до перетворень ${\displaystyle \pi _{l}'}$, ${\displaystyle \tau _{l}}$, ${\displaystyle \psi _{l}}$, ${\displaystyle \eta _{l}^{(K_{\nu })}}$ відповідно.

Розгортання ключів відбувається у 2 етапи:

• обчислення з ключа шифрування проміжного ключа ${\displaystyle K_{\sigma }}$;
• обчислення з проміжного ключа раундових ключів.

Проміжний ключ має той же розмір, що і блок даних 8 x ${\displaystyle c}$.

Обчислення проміжного ключа виконується перетворенням ${\displaystyle \Theta ^{(K)}=\psi _{l}\bullet \tau _{l}\bullet \pi _{l}'\bullet \eta _{l}^{(K_{\alpha })}\bullet \psi _{l}\bullet \tau _{l}\bullet \pi _{l}'\bullet \eta _{l}^{(K_{\omega })}\bullet \psi _{l}\bullet \tau _{l}\bullet \pi _{l}'\bullet \eta _{l}^{(K_{\alpha })}}$.

Якщо розмір блока і розмір ключа шифрування однакові, то ${\displaystyle K=K_{\alpha }=K_{\omega }}$. Якщо ж розмір ключа шифрування вдвічі більший, ніж розмір блока, то ${\displaystyle K=K_{\alpha }||K_{\omega }}$.

Як аргумент для перетворення ${\displaystyle \Theta ^{(K)}}$ використовується l-бітне представлення значення виразу ${\displaystyle (l+k+64)/64}$ з порядком бітів little-endian.

Обчислення раундових ключів з парними індексами (${\displaystyle i\in \{0,2,...,t\}}$) виконується перетворенням ${\displaystyle \Xi ^{(K,K_{\alpha },i)}=\eta ^{\phi _{i}^{(K_{\sigma })}}\bullet \psi _{l}\bullet \pi _{l}'\bullet \kappa _{l}^{(K_{\sigma })}\bullet \psi _{l}\bullet \tau _{l}\bullet \pi _{l}'\bullet \eta ^{\phi _{i}^{(K_{\sigma })}}}$.

Перетворення ${\displaystyle \eta _{l},\psi _{l},\pi _{l}',\kappa _{l}}$ описані вище. Перетворення ${\displaystyle \phi _{i}^{(K_{\sigma })}=\eta _{l}^{(K_{\sigma })}((0x00010001...0001)\ll (i/2))}$.

Вхідними даними для перетворення ${\displaystyle \Theta ^{(K)}}$ є значення ${\displaystyle K\ggg (32\cdot i)}$, де ${\displaystyle K}$ — ключ шифрування, якщо розмір ключа дорівнює розміру блока.

Якщо ж розмір ключа шифрування більший розміру блоку, то вхідними даними для перетворення ${\displaystyle \Theta ^{(K)}}$ є ${\displaystyle K_{\alpha }\ggg (16\cdot i)}$, для ${\displaystyle i\in \{0,4,8...\}}$ та ${\displaystyle K_{\omega }\ggg (64\cdot \left\lfloor {\frac {i}{4}}\right\rfloor )}$, для ${\displaystyle i\in \{2,6,10...\}}$

Обчислення раундових ключів з непарними індексами (${\displaystyle i\in \{1,3,...\}}$) виконується за формулою ${\displaystyle K_{i}=(K_{i-1}\lll ({\frac {3\cdot I}{4}}-24))}$.